新型Golang歹意软件的详细分析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

新型Golang歹意软件的详细分析

申博_安全工具 申博 273次浏览 已收录 0个评论

Golang(Go)是一种相对较新的编程言语,然而用这个言语编写的歹意软件却不罕见。不外近来跟着go言语的赓续盛行,用这门言语编写的软件逐步的涌现,这也给平安剖析职员带来了应战。在研讨历程当中,我们发明由于这类言语编写的应用顺序体积重大,在调试器下看起来与运用其他言语编译的应用顺序(如C/C++)有很大分歧。

近来,我们研讨职员视察到一种新型用Go编写的Zebocry歹意软件。细致内容检察:这里。

我们在试验室中捕捉了一种用Go编写的歹意软件。 这一次,MalwarebytesTrojan.CryptoStealer.Go文件归类为盗取用户信息的软件。这篇文章将细致引见其功用,同时展现用于剖析Go中编写的其他歹意软件的要领和对象。

样本剖析

Malwarebytes将此盗取顺序定名为Trojan.CryptoStealer.Go

  • 992ed9c632eb43399a32e13b9f19b769c73d07002d16821dde07daa231109432
  • 513224149cd6f619ddeec7e0c00f81b55210140707d78d0e8482b38b9297fc8f
  • 941330c6be0af1eb94741804ffa3522a68265f9ff6c8fd6bcf1efb063cb61196 – HyperCheats.rar (原始 顺序包)
  • 3fcd17aa60f1a70ba53fa89860da3371a1f8de862855b4d1e5d0eb8411e19adf – HyperCheats.exe (UPX packed)
    • 0bf24e0bc69f310c0119fc199c8938773cdede9d1ca6ba7ac7fea5c863e0f099 – unpacked

行动剖析

在对文件的剖析中,我们发明Golang挪用了WindowsAPI。这里我们能够运用典范对象举行跟踪挪用,比方PIN跟踪器。 我们发明歹意软件会在以下途径中搜刮文件:

"C:\Users\tester\AppData\Local\Uran\User Data\"
"C:\Users\tester\AppData\Local\Amigo\User\User Data\"
"C:\Users\tester\AppData\Local\Torch\User Data\"
"C:\Users\tester\AppData\Local\Chromium\User Data\"
"C:\Users\tester\AppData\Local\Nichrome\User Data\"
"C:\Users\tester\AppData\Local\Google\Chrome\User Data\"
"C:\Users\tester\AppData\Local\360Browser\Browser\User Data\"
"C:\Users\tester\AppData\Local\Maxthon3\User Data\"
"C:\Users\tester\AppData\Local\Comodo\User Data\"
"C:\Users\tester\AppData\Local\CocCoc\Browser\User Data\"
"C:\Users\tester\AppData\Local\Vivaldi\User Data\"
"C:\Users\tester\AppData\Roaming\Opera Software\"
"C:\Users\tester\AppData\Local\Kometa\User Data\"
"C:\Users\tester\AppData\Local\Comodo\Dragon\User Data\"
"C:\Users\tester\AppData\Local\Sputnik\Sputnik\User Data\"
"C:\Users\tester\AppData\Local\Google (x86)\Chrome\User Data\"
"C:\Users\tester\AppData\Local\Orbitum\User Data\"
"C:\Users\tester\AppData\Local\Yandex\YandexBrowser\User Data\"
"C:\Users\tester\AppData\Local\K-Melon\User Data\"

这些途径指向浏览器中存储的数据。 我们发明一个事实是个中一条途径指向Yandex浏览器,而该浏览器主要在俄罗斯被普遍运用。

下一个搜刮的途径是桌面:

"C:\Users\tester\Desktop\*"

此处我们找到的一切文件都邑被复制到%APPDATA%建立的文件夹中:

新型Golang歹意软件的详细分析

“桌面”文件夹包罗从桌面及其子文件夹复制的一切TXT文件。 下面是我们的测试机械示例:

新型Golang歹意软件的详细分析

当搜刮完成后,这个文件被紧缩成为:
新型Golang歹意软件的详细分析

我们能够看到这个数据包被发送到 C&C (cu23880.tmweb.ru/landing.php)

新型Golang歹意软件的详细分析

内部历程

Golang编译的二进制文件一般很大,以是我们对这个大文件并没有觉得新鲜。而这里的样本已运用UPX打包以减小其巨细。 我们能够运用规范UPX举行解紧缩。 效果,我们得到了简朴的Go二进制文件。 导出表显现了编译途径和一些其他的功用:

新型Golang歹意软件的详细分析

视察这些导出文件,我们能够相识应用顺序内部运用的静态库。

个中的很多功用(与trampoline有关)能够在模块sqlite-3中找到:https://github.com/mattn/go-sqlite3/blob/master/callback.go。

函数crosscall2来自Go运转时,它与从C / C ++应用顺序挪用Go相干(https://golang.org/src/cmd/cgo/out.go)。

对象

为了便于剖析,我运用了IDA ProGeorge Zaytsev编写的剧本IDAGolangHelper。 起首,Go可实行文件必需加载到IDA中。 然后,我们能够从菜单(文件 ->剧本文件)运转剧本。 然后,我们会看到以下菜单,能够接见特定功用:

新型Golang歹意软件的详细分析

起首,我们须要肯定Golang的版本(该剧本供应了一些有效的信息)。 我们得到了其版本是Go 1.2。 然后,我们重定名函数并增加规范的Go范例。 完成这些操纵后,代码看起来更具可读性。 下面,我们能够看到运用剧本之前和以后的函数视图。

之前(仅导出的函数被定名):

新型Golang歹意软件的详细分析

以后(大多数函数都自动剖析并增加了相干称号):

新型Golang歹意软件的详细分析

个中很多功用来自静态链接库。 因而,我们须要主要存眷解释为main_ *的函数,这些函数特定于可实行文件。

新型Golang歹意软件的详细分析

代码审计

在函数“main_init”中,我们能够看到在应用顺序中运用的模块:

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

新型Golang歹意软件的详细分析

剖析此功用能够资助我们举行功用展望:即检察上述库函数的详细内容。我们能够看到它们经由过程收集举行通讯,读取SQLite3数据库并抛出异常。 其他初始化器发起运用正则表达式、zip花样并读取环境变量。

此函数还卖力初始化字符串。 我们能够看到个中一些是base64解码的:

新型Golang歹意软件的详细分析

在字符串初始化中,我们看到对加密泉币钱包的援用。

以太坊:

新型Golang歹意软件的详细分析

门罗币:

新型Golang歹意软件的详细分析

Golang二进制文件的主要功用是解释“main_main”。

新型Golang歹意软件的详细分析

在这里,我们能够看到应用顺序正在建立一个新目次(运用函数 os.Mkdir)。 这里显现将要复制文件的目次。

以后,有几个Goroutine已开始运用runtime.newproc。 (Goroutines能够像线程一样运用,但它们的管理方式分歧)。 这些线程卖力搜刮文件,同时Sqlite模块用于剖析数据库以盗取数据。

然后,歹意软件将其悉数紧缩到一个包中,末了,紧缩包被上传到C&C服务器。

新型Golang歹意软件的详细分析

什么时候盗取?

要检察进击者终究对哪些数据感兴趣,我们能够更细致地相识实行SQL查询的函数,并检察相干字符串。

Golang中的字符串以串连情势存储在一起:

新型Golang歹意软件的详细分析

以后,根据须要检索的内容举行操纵。 因而,看看每一个字符串被援用的代码中的详细位置其实不轻易。

下面是代码中翻开“sqlite3”数据库的片断(检索长度为7的字符串):

新型Golang歹意软件的详细分析

另一个例子:经由过程给定的偏移量和长度,从完全的字符串块中检索此查询:

新型Golang歹意软件的详细分析

我们来视察这些查询试图猎取的详细数据。 猎取援用的字符串,我们能够检索并列出一切字符串:

select name_on_card, expiration_month, expiration_year, card_number_encrypted, billing_address_id FROM credit_cards
select * FROM autofill_profiles
select email FROM autofill_profile_emails
select number FROM autofill_profile_phone
select first_name, middle_name, last_name, full_name FROM autofill_profile_names

我们能够看到浏览器的cookie数据库在与在线生意业务相干的搜刮数据中被查询了:信誉卡号、到期日和姓名和电子邮件地址等个人数据。

搜刮的文件途径都被存储为base64字符串。 个中很多内容与加密泉币钱包有关,但我们也能够找到对Telegram的援用。

Software\\Classes\\tdesktop.tg\\shell\\open\\command
\\AppData\\Local\\Yandex\\YandexBrowser\\User Data\\
\\AppData\\Roaming\\Electrum\\wallets\\default_wallet
\\AppData\\Local\\Torch\\User Data\\
\\AppData\\Local\\Uran\\User Data\\
\\AppData\\Roaming\\Opera Software\\
\\AppData\\Local\\Comodo\\User Data\\
\\AppData\\Local\\Chromium\\User Data\\
\\AppData\\Local\\Chromodo\\User Data\\
\\AppData\\Local\\Kometa\\User Data\\
\\AppData\\Local\\K-Melon\\User Data\\
\\AppData\\Local\\Orbitum\\User Data\\
\\AppData\\Local\\Maxthon3\\User Data\\
\\AppData\\Local\\Nichrome\\User Data\\
\\AppData\\Local\\Vivaldi\\User Data\\
\\AppData\\Roaming\\BBQCoin\\wallet.dat
\\AppData\\Roaming\\Bitcoin\\wallet.dat
\\AppData\\Roaming\\Ethereum\\keystore
\\AppData\\Roaming\\Exodus\\seed.seco
\\AppData\\Roaming\\Franko\\wallet.dat
\\AppData\\Roaming\\IOCoin\\wallet.dat
\\AppData\\Roaming\\Ixcoin\\wallet.dat
\\AppData\\Roaming\\Mincoin\\wallet.dat
\\AppData\\Roaming\\YACoin\\wallet.dat
\\AppData\\Roaming\\Zcash\\wallet.dat
\\AppData\\Roaming\\devcoin\\wallet.dat

不成熟的歹意软件

此歹意软件中运用的一些设想形式提示我们依然存在相似的盗取软件,比方Evrial、PredatorTheThief和Vidar。它们有相似的目的,并将被盗数据作为ZIP文件发送给C&C。然则,没有证据证实这个盗取软件的作者与这些案件有联络。

当相识了这个歹意软件的完成和功用时,我们发明它相称简朴。它占用空间大是由于其来自很多静态编译的模块。能够这个歹意软件还处于开辟的初期阶段,作者能够刚刚开始进修Go并正在举行某些试验。我们将亲昵存眷其生长。

早先,由于它具有重大的代码库而且大部分人对其构造不熟悉,以是剖析Golang编译的应用顺序能够会相对难题。然则在恰当的对象的资助下,平安研讨职员能够轻松地在这个“迷宫”中举行导航,由于一切的功用都被贴上标签。由于Golang是一种相对较新的编程言语,我们能够预期剖析它的对象会跟着时候的推移而成熟。

歹意软件是新的进击趋向吗?如今下定义还有点太早了。但我们晓得,具有看待新言语编写歹意软件的平安意识对我们的异常的主要。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明新型Golang歹意软件的详细分析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址